IT-аудит: контроль прав доступа и разграничения полномочий

IT-аудит играет большую роль в обеспечении безопасности и надежности использования информационных систем организации. Он отвечает за оценку эффективности внутреннего контроля организации в области информационной безопасности, выявление потенциальных рисков и путей для их минимизации. В статье определены основные направления проведения IT-аудита, более подробно рассмотрен аудит распределения прав доступа к информационным системам, поскольку наделение пользователей излишними правами доступа может привести к реализации следующих рисков: недоступность сервисов и информационных систем компании, компрометация данных, проведение мошеннических операций, совершение непреднамеренных ошибок. В статье более подробно рассмотрен принцип разделения полномочий (SoD) как механизм обеспечения надежности процесса управления доступом, снижения рисков, обозначенных в этой области. Приведен алгоритм действий, которые необходимо предпринять в целях внедрения SoD-системы в организации, а именно: проанализировать бизнес-процессы, оценить риски, разделить процессы и функции, распределить роли и ответственность, внедрить контроли доступа, проводить мониторинг процессов и функций. В качестве одной из практик по внедрению системы разделения обязанностей предложено формирование SoD-матрицы как для бизнес-процессов в целом, так и для отдельных информационных систем.